HIGHCVE-2026-35187CVSS 7.7

pyLoad : SSRF dans le point de terminaison d’API parse_urls via un paramètre URL non validé

Q: Qu'est-ce que CVE-2026-35187 — SSRF dans pyLoad ?

La permission ADD dans pyLoad est requise.

Q: Suis-je affecté(e) par CVE-2026-35187 dans pyLoad ?

Non, l'exploitation peut être effectuée à partir du réseau interne.

Q: Comment corriger CVE-2026-35187 dans pyLoad ?

Informations sensibles stockées dans des fichiers locaux et des ressources du réseau interne.

Q: CVE-2026-35187 est-il activement exploité ?

Restreindre l'accès des utilisateurs disposant de la permission ADD au réseau interne et surveiller les journaux du serveur.

Q: Où trouver l'avis officiel de pyLoad pour CVE-2026-35187 ?

Surveiller les journaux du serveur à la recherche de requêtes d'URL suspectes, en particulier celles qui utilisent le protocole `file://`.

Plateforme

python

Composant

pyload

Corrigé dans

0.5.1

AI Confidence: highNVDEPSS 0.0%Révisé: mai 2026

Voir sur NVD

Sauvegarder

CVE-2026-35187 est une vulnérabilité de type Server-Side Request Forgery (SSRF) affectant pyload-ng. Elle permet à un utilisateur authentifié de récupérer des URLs arbitraires côté serveur, y compris des fichiers locaux. Les versions affectées sont pyload-ng ≤0.5.0b3.dev96. Aucun correctif officiel n'est disponible pour le moment.

Impact et Scénarios d'Attaque

La vulnérabilité CVE-2026-35187 dans pyLoad permet à un utilisateur authentifié disposant de la permission ADD d'effectuer des requêtes HTTP/HTTPS vers des ressources du réseau interne et des points de terminaison de métadonnées cloud. Cela est dû à un manque de validation d'URL dans la fonction parseurls située dans src/pyload/core/api/init.py. La fonction geturl(url) (pycurl) récupère des URL arbitrairement côté serveur sans restrictions de protocole ni listes noires d'IP. Un attaquant pourrait lire des fichiers locaux en utilisant le protocole file://, car pycurl lit le fichier côté serveur. L'impact principal est la possible exposition d'informations sensibles, l'accès non autorisé à des ressources internes et, potentiellement, l'exécution de code si combiné à d'autres vulnérabilités.

Contexte d'Exploitation

Cette vulnérabilité est exploitable par des utilisateurs authentifiés disposant de la permission ADD dans pyLoad. Elle ne nécessite pas de privilèges root ni d'accès au réseau externe. L'attaquant doit être capable de manipuler l'entrée d'URL fournie à la fonction parse_urls. L'exploitation est relativement simple, car elle ne nécessite pas de compétences techniques avancées. La gravité de la vulnérabilité est exacerbée par le potentiel d'exposition d'informations sensibles et la possibilité d'escalade de privilèges si elle est combinée à d'autres vulnérabilités dans le système.

Qui Est à Risquetraduction en cours…

Organizations using pyLoad for download management, particularly those with internal networks accessible from the internet, are at risk. Shared hosting environments where multiple users have access to the pyLoad API are especially vulnerable, as a compromised user account could be used to exploit the SSRF vulnerability and access resources belonging to other users.

Étapes de Détectiontraduction en cours…

• python / server:

import requests
import re

def check_pyload_ssrf(url):
    try:
        response = requests.get(url, timeout=5)
        if response.status_code == 200:
            if re.search(r'file://', url) or re.search(r'gopher://', url) or re.search(r'dict://', url):
                print(f"Potential SSRF vulnerability detected: {url}")
            else:
                print(f"URL accessed: {url}")
    except requests.exceptions.RequestException as e:
        print(f"Error accessing {url}: {e}")

# Example usage (replace with actual API endpoint)
api_endpoint = "http://your-pyload-server/api/add"

# Test with potentially malicious URLs
check_pyload_ssrf("file:///etc/passwd")
check_pyload_ssrf("gopher://127.0.0.1/some_internal_service")

Chronologie de l'Attaque

2026-04-06Disclosure
disclosure

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu

CISA KEVNO

Exposition InternetÉlevée

Rapports1 rapport de menace

EPSS

0.03% (percentile 9%)

CISA SSVC

Exploitationpoc

Automatisableno

Logiciel Affecté

Composantpyload

Fournisseurpyload

Plage affectéeCorrigé dans

<= 0.5.0b3.dev96 – <= 0.5.0b3.dev960.5.1

Classification de Faiblesse (CWE)

CWE-918

Chronologie

Réservé2026-04-01
Publiée2026-04-06
Modifiée2026-04-07
EPSS mis à jour2026-04-14

Mitigation et Contournements

La solution pour CVE-2026-35187 consiste à mettre à jour pyLoad vers la version 0.5.0b3.dev96 ou ultérieure. Cette version corrige la vulnérabilité en implémentant la validation d'URL et les restrictions de protocole dans la fonction parse_urls. En attendant, comme mesure temporaire, il est recommandé de restreindre l'accès des utilisateurs authentifiés disposant de la permission ADD au réseau interne et aux points de terminaison de métadonnées cloud. Il est également crucial de revoir et d'auditer les permissions des utilisateurs dans pyLoad afin de minimiser le risque d'exploitation. Surveiller les journaux du serveur à la recherche d'activités suspectes liées aux requêtes d'URL peut également aider à détecter et à répondre à d'éventuelles attaques.

Comment corriger

Mettez à jour vers la version 0.5.0b3.dev96 ou supérieure pour atténuer la vulnérabilité SSRF (Server-Side Request Forgery). Cette version implémente la validation d'URL et les restrictions de protocole pour prévenir l'accès non autorisé aux ressources internes.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentes

Qu'est-ce que CVE-2026-35187 — SSRF dans pyLoad ?